[250213] TIL

오늘 한 것

브라우저 동작 방식 블로그 글 작성

• 브라우저는 어떻게 동작하는가?

Stateful과 Stateless 차이

Stateful

클라이언트가 이전 단계에서 제공한 값을 서버가 저장하고 이후에도 유지

Stateless

클라이언트가 이전 단계에서 제공한 값을 서버가 저장하지 않음

HTTP는 Stateless 프로토콜이라고 합니다. Stateless의 의미는 무엇이며, 웹 애플리케이션은 사용자 상태나 세션을 유지하기 위해 어떤 방법들을 사용하나요?

A. Stateless 프로토콜이란, 서버가 클라이언트의 정보를 보존하지 않고 요청에 대한 응답만 보내주는 프로토콜을 의미합니다.

웹 애플리케이션에서 사용자의 상태를 유지하기 위해서는 쿠키, 세션, JWT를 이용합니다. 쿠키는 클라이언트가 정보를 저장하고 요청 시마다 서버로 전송되는 것입니다. 세션이란 서버에서 클라이언트의 상태를 저장하고 관리하는 것을 의미합니다. 마지막으로, JWT란 클라이언트가 인증 정보를 포함하여 서버에 요청하는 것을 의미합니다.

쿠키는 사용자의 브라우저에서 자동으로 저장되고, 세션은 서버에서 자동으로 저장/관리되기 때문에 유저가 인식하지 못한 채 동작합니다. 하지만, JWT는 클라이언트가 직접 토큰을 저장하고 관리한다는 차이점이 존재합니다.

HTTP 메소드란?

HTTP 메소드란 클라이언트와 서버 사이에 요청과 응답이 이루어지는 방식을 의미한다.

멱등성(Idempotent)이란?

멱등성이란 연산을 여러 번 적용하더라도 결과가 달라지지 않는 성질을 의미한다.

예를 들어, 어떤 숫자에 1을 곱하는 연산은 여러 번 수행해도 처음 1을 곱한 것과 같은 숫자가 되기 때문에 1을 곱하는 연산은 멱등성을 보장한다고 할 수 있다.

HTTP 주요 메소드의 멱등성 보장 여부

메소드	멱등성 여부
GET	O
POST	X
PUT	O
PATCH	X
DELETE	O

안전성이란?

서버의 상태(데이터)를 변경하지 않는 메소드를 의미한다. 즉, 안전성을 보장하는 동일한 요청을 여러 번 보내더라도 서버의 데이터가 변경되지 않는다.

HTTP 주요 메소드의 안전성 보장 여부

메소드	안전성 여부
GET	O
POST	X
PUT	X
PATCH	X
DELETE	X

Server와 Web Application Server 차이

웹서버 WS

• 정적 컨텐츠의 전달이 핵심
• 바로 WAS가 탄생한건 아닙니다. 웹 서버만으로 동적 처리를 위해 다양한 방식이 사용 (CGI)

웹 어플리케이션 서버 WAS

• 동적 컨텐츠의 전달이 핵심
• 웹 애플리케이션 서버는 비즈니스 로직의 효율적인 실행을 위해 등장한 개념
• WAS의 탄생목적은 웹 애플리케이션의 비즈니스 로직을 효율적으로 처리하고, 웹 서버와의 역할을 분리하여 성능과 확장성을 개선시키기 위함

추가로 알면 좋은 점

• 보안 (외부망과 내부망)
• 로드밸런서
• 웹서버로도 동적 컨텐츠 생성이 가능하다

정적 웹 페이지와 동적 웹 페이지의 차이

• 정적 웹 페이지는 서버에서 미리 정적인 컨텐츠를 생성하여 전달하는 방식
• 동적 웹 페이지는 서버에서 동적으로 컨텐츠를 생성하여 전달하는 방식

표로 비교 정리

구분	정적 웹 페이지	동적 웹 페이지
데이터 변경	HTML 파일 직접 수정 필요	서버에서 데이터 가공 후 제공
응답 속도	빠름 (그냥 HTML 제공)	상대적으로 느림 (서버 처리 필요)
서버 부하	거의 없음	요청마다 서버에서 HTML 생성 필요
데이터베이스 사용	사용 안 함	사용 가능
보안성	높음 (단순 HTML 제공)	상대적으로 낮음 (보안 관리 필요)
사용 예시	포트폴리오, 소개 페이지	쇼핑몰, SNS, 검색 엔진

JWT토큰이 탈취 당했을때 해결할 수 있는 방법

XSS (Cross-Site Scripting) 공격

• HttpOnly 쿠키 사용 → JavaScript에서 JWT 접근을 차단한다.
• CSP(Content Security Policy) 적용 → 악성 스크립트 실행을 방지한다.
• 입력 값 검증 및 필터링 → <script> 태그 삽입을 방지한다.

MITM (Man-in-the-Middle) 공격

• HTTPS 사용 → 통신 암호화를 통해 공격을 방지한다.
• TLS(Transport Layer Security) 통신 → 통신 암호화를 통해 공격을 방지한다.
• 최신 암호화 알고리즘 사용 → 암호화 알고리즘 강화를 통해 공격을 방지한다.

로컬 저장소 유출

• HttpOnly 쿠키 사용
• Secure 쿠키 속성 사용
• JWT 를 브라우저 로컬 저장소에 저장하지 않는다.

잘못된 토큰 저장 및 공유

• JWT를 URL에 포함하지 않고, HTTP 헤더(Authorization: Bearer …)로 전송한다.
• 토큰을 Secure 쿠키에 저장하고, 필요할 때만 접근한다.

취약한 Refresh Token 관리

• Refresh Token을 HttpOnly & Secure 쿠키에 저장한다.
• Refresh Token을 사용할 때마다 재발급하고, 이전 Refresh Token을 폐기한다.
• Refresh Token을 서버에서 관리하고, 재사용 방지(Rotation) 정책을 적용한다.